m0_62207482的博客

原创 数据加密的方法

非对称加密：使用一对密钥（公钥和私钥）对数据进行加密和解密。发送方使用接收方的公钥加密数据，接收方使用自己的私钥解密数据。数字签名：使用私钥对数据进行签名，接收方使用发送方的公钥验证签名的真实性。哈希函数：将数据转换为固定长度的哈希值，通常用于验证数据的完整性和一致性。SSL/TLS：用于在网络通信中加密数据传输的协议，通过使用对称加密和非对称加密来确保数据的安全性。对称加密：使用相同的密钥对数据进行加密和解密。VPN：通过在公共网络上建立加密隧道来保护数据的传输和通信安全。

原创 安全基线检查的技术方法

自动化工具检查是借助某些安全配置核查系统（CVS）或专门开发的检查脚本来自动化完成部分工作。自动化工具主要自动化完成目标设备登录、设备配置检测和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作的隐患，提高检查效率和精确度。人工安全配置检测主要是利用人工检查checklist对目标范围内无法进行自动化工具及离线脚本的系统或设备进行安全配置检测；离线脚本检查是借助某些安全配置核查系统（CVS）中提供的离线脚本及使用方法进行安全配置检测。人工检查checklist。（1）自动化工具检查。

原创 安全配置核查关注点

防火墙对UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。- 对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制，检查口令生存周期要求。- 配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。- 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。- 检查是否配置NFS服务限制检查。

原创 Linux查看cpu使用情况

c ：切换显示模式，共有两种模式，一是只显示执行档的名称，另一种是显示完整的路径与名称S ：累积模式，会将己完成或消失的子行程( dead child process )的CPU time累积起来。使用方式：top ［-］ ［d delay］ ［q］ ［c］ ［S］ ［s］ ［i］ ［n］ ［b］q ：没有任何延迟的显示速度，如果使用者是有superuser的权限，则top将会以最高的优先序执行。b ：批次档模式，搭配“n”参数一起使用，可以用来将top的结果输出到档案内。使用权限：所有使用者。

原创 正则表达式

由于名称是由若干个字母、数字、下划线和中划线组成，所以需要用到+表示多次出现。

原创 网络安全运维类面试非技术问题

第四点是溯源，尽可能的分析一下本次事件的5W1H，攻击线路，技战术等等。答：要先做计划，提前了解要做哪些设备或哪块区域的检查，会涉及到哪些设备，具体的还要有对应的软硬件版本，确定检查深度和主次点，举个例子：比如要检查测试区5台设备，都是linux，有几个应用，具体版本是3.4.1和5.32，本次是全面检查，要留痕归档，那么就按照Linux基线安全进行全面的检查--系统配置、账户权限、访问控制、日志记录等方面进行检查，如果出现问题，确定一下风险等级和解决方案，将解决方案和优化措施一同写进检查报告。

原创 日志行为分析

可以看到上述日志中，某IP对登录了邮件并进行了相关操作，可以看到其登录了不同的账户，那么这个时候怎么判断其是正常的请求还是恶意请求呢？通过过滤404请求和GET等，可以发现某些IP的目录扫描探测行为，同时在通过IP去过滤状态码是200的请求，可以发现一些安全隐患。(3)、观察这个IP前的一些请求行为，你就可能发现来着不同IP的登录请求，恶意攻击前的撞库攻击，这时基本就可以坐实了。(1)、威胁情报，查找请求IP相关的威胁情报信息，如果是恶意IP那么大概率就有可能是恶意访问了。sqlmap的WAF探测请求。

原创 Sqlmap使用

3、查看当前使用的数据库。2、查看所有「数据库」

原创 中了内存马如何排查（不死马）

如果是filter或者listener类型，可能会有较多的404但是带有参数的请求，或者大量请求 不同url但带有相同的参数，或者页面并不存在但返回200。还有一些比较弱的特征可以用来辅助检测，比如类名称中包含shell或者为随机名，使用不常 见的classloader加载的类。如果是servlet或者spring的controller类型，根据上报的webshell的url查找日志。如果是代码执行漏洞，排查中间件的error.log，查看是否有可疑的报错，判断注入时间和方 法。③xml配置中没注册的。

原创 渗透测试类面试非技术问题

(4)WIFI钓鱼:这个说简单一点就可以背无密码的一个无线网卡，去你想入侵目标的内网地址，或者某咖啡店，公共场所，进行无密码的连接，未造成地点的名称 比如某咖啡店某图书馆某酒店等，这也属于近缘渗透，修改成某公司真实的无线名称且没有密码，进行流量收集，回去慢慢进行流量分析，如有加密进行解密等操作。(1)钓鱼网页:做一个与真实网站外观相似的假冒网站，诱导用户输入敏感信息泄露等，再传到自己服务器数据库，如果做完善一点做一个弹窗密码错误再进行跳转真实页面的操作，可以让客户无感跳转。如：awvs 如何批量扫描？

原创 蜜罐部署解析

将节点部署在互联网区，用来感知互联网来自自动化蠕虫、竞争对手和境外的 真实威胁，甚至发现针对客户的 0day攻击，通过和具有情报生产能力的 情报平台 对接，可以稳定准确的生产私有威胁情报。蜜罐被部署在企业内部服务器区，用于 感知内网失陷和横向移动，常见模板可以设置文模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。是企业环境 最常见 的使用方法，用来捕捉内网已经失陷、勒索软件和恶意行为，重点在于 敏捷准确，具体可细分为 内部办公场景 和 内部IDC场景，

原创 日志中看到的行为分析

post一个PHP的函数 这些函数可以对文件进行操作 可以对数据库进行操作如果特征编码 例如base64 rot13 通过该种编码的解码来实现流量的解密。在开始连接进行密钥协商的时候 抓取冰蝎流量密钥值通过冰蝎密钥 对加密的流量进行解密在进行行为分析。分析方法： 蚁剑 菜刀。

原创 数据的定义及其分类

2）、重要数据：特定领域、特定群体、特定区域或者达到一定精度和规模的、一旦被篡改或者泄露、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据（注：仅影响组织自身或者公民个体的数据一般不作为重要数据）3）、核心数据：对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。8）、衍生数据：经过统计、关联、挖掘、聚合、去标识化等加工活动产生的数据。4）、一般数据：核心数据、重要数据之外的其他数据。

原创 重要数据的识别因素

f）反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可能被恐怖分子、犯罪分子利用实施破坏，如反映重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等情况的数据，以及未公开的专用公路、未公开的机场等的信息属于重要数据；n）其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。i）国家自然资源、环境基础数据，如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据；

原创 Linux入侵排查思路

1、账号安全2、历史命令3、检查异常端口4、检查异常进程5、检查开机启动项6、检查定时任务7、检查服务8、检查异常文件9、检查系统日志。

原创 数据安全风险评估框架图

原创 数据安全能力成熟度模型（DSMM）

数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。2) 数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。1) 数据安全过程包括数据生存周期安全过程和通用安全过程；

原创 信息的定义及其分类分级

统计信息（Statistical Information）：指通过对数据进行统计和分析得出的信息，通常用于描述和总结数据的特征和规律。战略信息（Strategic Information）：指用于制定长期规划和战略决策的信息，通常包含市场分析、竞争情报、未来趋势等内容。实时信息（Real-time Information）：指即时获取和处理的信息，通常用于监控、控制和决策支持。综合以上分类，信息是对数据进行加工和整理后得出的有意义的结果，具有不同的性质和用途，可以帮助人们理解和应用数据，支持决策和行动。

原创 数据安全的定义及其分类分级

数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的过程。数据安全的目标是确保数据的机密性、完整性和可用性，以防止数据被盗窃、篡改或丢失，从而保护个人隐私和组织机密信息。常见的保护措施包括加密、访问控制、身份验证等。完整性（Integrity）：保护数据免受未经授权的篡改或修改，确保数据的准确性和完整性。常见的保护措施包括数字签名、数据校验、审计日志等。综合以上分类，数据安全的目标是综合保护数据的机密性、完整性、可用性、可信性和不可抵赖性，以确保数据在存储、传输和处理过程中的安全性和可靠性。

原创 网络运维类面试非技术问题

基于质量服务（QoS）的流控：QoS是一种网络管理技术，用于为不同的网络流量分配优先级和资源，以确保关键应用或服务的性能和可靠性。使用Ping命令：先Ping本地回环地址（127.0.0.1），然后是本机IP地址，接着是局域网内其他设备的IP地址，最后是外部网址（如www.baidu.com），以此确认网络的哪个环节出现问题。基于流量的流控：交换机可以根据流量的特征对数据流进行分类和控制。网络监控是一种持续的监控过程，用于检测、跟踪和响应网络中的设备和服务的状态，以确保网络的可用性、性能和安全性。

原创 流量分析回溯

由于日志大概率不会记录post请求体，所以在post请求包体中的攻击往往很难发现，这个时候就需要我们对特定的IP进行行为查看，如查询IP的威胁情报，某个IP登录了多个账号等等。直接查找在请求中携带的关键字，如script、select、from、echo、bash、.sh等。4XX请求、5XX请求。

原创 数据资产分类分级

在对数据资产进行分类分级后，组织可以根据不同级别的数据资产采取相应的安全措施和管理措施，确保数据得到适当的保护和安全管理。数据资产分类分级是指根据数据的重要性、敏感性和保密程度，将数据资产划分为不同的分类和级别，以便对其进行更有针对性的安全管理和保护。这类数据可能包含一些敏感信息，需要受到一定的保护。受限数据（Restricted Data）：指受到法律法规、行业标准或合同约束的数据，需要按照特定的规定和标准进行处理和保护，如医疗保健数据、金融数据等。例如，公开的公司介绍、产品信息等。

原创 数据安全风险评估流程

定期复审和更新：定期对数据安全风险评估进行复审和更新，确保评估结果和控制措施与组织的实际情况和风险变化保持一致。制定风险控制措施：根据评估结果，制定相应的风险控制措施和应对策略，包括改进现有控制措施、引入新的控制措施等。评估风险影响：评估每种潜在威胁对数据资产的影响程度和可能造成的损失，包括财务损失、声誉损害、法律责任等。评估现有控制措施：评估组织已有的数据安全控制措施的有效性和完整性，包括技术措施、管理措施、培训措施等。确定评估范围：确定评估的范围和目标，包括评估的数据资产、系统、流程和相关方。

原创 桌面运维类面试非技术问题

针对企业来讲，视频会议为企业减少了出差成本费，提升了职工工作效能，便捷了与朋友，合作方和顾客中间的沟通和互动交流，进而改进了沟通从而减少了新项目時间。如你遇到了游戏卡顿，可以使用Windows10自带的GPU加速功能尝试解决，点【开始】，选择【设置】→【显示】→【图形设置】，在此界面开启【硬件加速GPU计划】，然后选择相应的游戏，最后在【图形首选项】中选择高性能保存即可。桌面运维行业具有广阔的就业前景。另一方面，由于数字化办公的普及，企业和机构的计算机系统规模越来越大，对桌面运维专业人员的需求也越来越高。

原创 冰蝎、蚁剑和哥斯拉

它的原理是通过将一个类似于Webshell的脚本注入到Web服务器上，然后在客户端通过HTTP/HTTPS协议与注入的脚本进行通信，从而实现对被攻击端的远程控制。攻击者首先在受害者机器上植入后门，然后将后门与攻击者自己的服务器建立连接，从而可以通过Java Web服务器进行远程控制。哥斯拉是一款基于Go语言开发的网络安全检测平台，具有漏洞扫描、资产管理、协议分析的作用，其特点是速度快、效率高、安全性好。总的来说，虽然冰蝎、蚁剑和哥斯拉在远程管理方面都有一定的功能，但它们在具体实现和功能上存在明显的差异。

原创 终端安全加强

对于重要数据和系统，必须采用复杂的密码进行保护，并定期更换密码。同时，要加强对员工密码的管理，确保每个员工有一个独立的账号和密码，并限制其使用权限。对于终端设备，必须安装杀毒软件、防火墙等安全工具，并及时修补漏洞，确保系统的安全性。此外，还应该限制外部设备和存储介质的使用，防止病毒和恶意软件的传播。员工是企业信息安全的第一道防线，必须加强员工安全意识的培养，让员工了解信息安全的重要性，并提高其安全意识和安全素养。对于重要数据，必须定期备份，并保存在安全的地方。等等，都能很好的管理电脑的终端安全。

原创 流量报文字段解析

提交方式 get url post 表单。用户端的信息，浏览器的信息。从哪个页面跳转过来的。

原创 Windows入侵排查

# windows入侵排查。

原创 冰蝎解析详

UA=Mozilla/5.0或4.0等 Mozilla/4.0 (compatible;建立连接后的cookie存在特征字符，所有请求 Cookie的格式都为: Cookie: PHPSESSID=;请求包存在：Accept: text/html, image/gif, image/jpeg,;因为内置了很多的UA头，所以当某一个相同IP重复请求，但是UA头不一样的时候就需要注意了，冰蝎1有一个密钥协商过程，这个过程是明文传输，并且有两次流量，用来校验。请求行显示shell_bing3.0.php。

原创 信息收集分类

在信息收集中，需要收集的信息：目标主机的DNS信息、目标IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、邮箱、人员、地址等。 主动信息收集：直接与目标信息发生交互通信，无法避免留下访问痕迹 被动收集：借助于第三方渠道工具（google、shodan、工具Maltego）对信息进行搜索，避免于目标发生交互留下访问痕迹。MaltegoMaltego是一款综合信息收集工具，可以帮助获取和可视化情报收集。Maltego在Kali linux中

原创 安全设备简介

而WAF只负责针对WEB系统的防护，对HTTP/HTTPS流量的双向解码和分析更加完整、全面，可 以应对WEB应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击、Cookie篡改以及应用层DDoS等，从WEB防护的专业性上来说，WAF比IPS强很多。但是WAF区别于IPS最大的地方，就是针对WEB应用的防护。，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性， 对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。态势感知，WAF，防火墙，EDR，蜜罐等。

原创 WEB应用日志

会记录请求IP、请求方法（Get/Post）、请求url、请求端口、浏览器UserAgent等。请求类型：“GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1”Apache日志存放在<Apache安装路径>/apache/logs/ 目录，httpd.conf也可以配置日志存放位置。请求时间：[08/Jun/2021:11:43:08 +0800]access_log/access.log日志记录成功的请求。发送字节数：1335。

原创 应急响应流程

C:\Users\lenovo>netstat -ano -p tcp 查询tcp连接的进程，及PID。

原创 日志事件ID

日志排查时，通常会根据事件ID搜索日志。4672：新登录的用户被分配管理员权限。4648：使用显式凭证尝试登录。4647：注销远程登录的用户。4634：注销本地登录用户。4732：添加用户到用户组。4733：从组中删除用户。4798：枚举本地用户组。4724：修改用户密码。4734：删除用户组。4738：修改用户账户。4722：启用新用户。4731：创建用户组。4735：安全组更改。

原创 防火墙、IPS、IDS

WAF web应用防火墙 部署在web应用边界 防御http和https流量。IDS入侵检测系统 旁挂 端口镜像（把关键的数据复制一份到旁挂设备的链路上）IPS入侵防御系统 部署在网络主链路上，和重要业务边界 直连。企业边界防护、内网管控和安全隔离、数据中心边界防护、数据中心安全联动。：8443 华为设备默认8443。

原创 网络工程类面试非技术问题

在我的工作中，我曾经使用Zabbix来监控公司的网络设备和服务器，通过配置监控项和触发器，实时监控网络设备的状态和性能。我是先找到接入层，在每个楼层的电井里面，分析一下接入层都有哪些vlan，每个vlan下接的是什么业务，在找到网关设备，看有哪些地址段，在查找出口设备。需要注意的是，远程安装服务器系统需要具备一定的网络和远程管理技术，确保操作的安全和稳定性。通过以上的沟通和排查步骤，我可以更好地理解问题的根本原因，并采取相应的措施来解决视频和音频不同步的问题，确保客户能够顺利进行视频会议。

原创 一句话木马

eval(“$x;

原创 入侵排查思路

可能入侵者在尝试进行攻击的时候，下线，然后对机器进行排查比如：弱口令爆破。二、目的没有达成，数据正在回传。木马，后门均在服务器上运行。一、目的已经达成，木马，后门均已销毁。

原创 traceroute命令

traceroute是一个网络诊断工具，用于跟踪数据包在网络中的路径，并显示到达目标地址的路由信息。222.71.54.226是您要跟踪的目标IP地址。

原创 网络七层协议

网关：应用层、传输层（网关在传输层上以实现网络互连，是最复杂的网络互联设备，仅用于 两个高层协议不同的网络互连。交换机 ：数据链路层、网络层（识别数据中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中）数据链路层（帧）：把不可靠信道变为可靠信道，将比特组织成帧，在链路上提供点到点的帧 传输，差错检测、流量控制等。传输层（段）：提供端到端之间可靠透明的传输。网络层（分组）：路径的选择，网络连接的多路复用、差错的检测与恢复、排序与流量控制、 服务选择；